Анализ угроз и реагирование на них

Важно!

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Группа ресурсов

Возможности расследования и реагирования на угрозы в Microsoft Defender для Office 365 помогают аналитикам и администраторам безопасности защитить Microsoft 365 организации для бизнес-пользователей с помощью:

  • Упростит идентификацию, отслеживание и понимание кибератак.
  • Помощь в быстром устранении угроз в Exchange Online, SharePoint Online, OneDrive для бизнеса и Microsoft Teams.
  • Предоставление информации и знаний для предотвращения кибератак на их организацию.
  • Использование автоматизированных исследований и ответов в Office 365 для критических угроз на основе электронной почты.

Возможности расследования и реагирования на угрозы предоставляют сведения об угрозах и связанных с ними действиях реагирования, доступных на Microsoft 365 Defender портале. Эти сведения помогут группе безопасности организации защитить пользователей от атак на основе электронной почты или файлов. Эти возможности помогают отслеживать сигналы и собирать данные из нескольких источников, таких как активность пользователей, проверка подлинности, электронная почта, скомпрометированная компьютерная информация и инциденты с безопасностью. Лица, принимающие решения для бизнеса и ваша команда по операциям безопасности, могут использовать эти сведения для понимания и реагирования на угрозы в отношении вашей организации и защиты интеллектуальной собственности.

Знакомство с средствами расследования и реагирования на угрозы

Возможности расследования и реагирования на угрозы на Microsoft 365 Defender на портале представляют собой набор инструментов и процессов реагирования, которые https://security.microsoft.com включают:

Обозреватель

Используйте Explorer (и обнаружения в режиме реального времени) для анализа угроз, определения объема атак со временем и анализа данных семей угроз, инфраструктуры злоумышленников и других. Explorer (также именуется Обозреватель угроз) является начальным местом для рабочего процесса расследования любого аналитика безопасности.

Обозреватель угроз.

Чтобы просмотреть и использовать этот отчет на портале https://security.microsoft.com Microsoft 365 Defender, перейдите в обозреватель & > электронной почты. Или, чтобы перейти непосредственно на страницу Explorer, используйте https://security.microsoft.com/threatexplorer .

Инциденты

В списке Инциденты (это также называется исследованиями) см. список инцидентов безопасности полетов. Инциденты используются для отслеживания таких угроз, как подозрительные сообщения электронной почты, а также для дальнейшего расследования и устранения.

Список текущих инцидентов с угрозами в Office 365.

Чтобы просмотреть список текущих инцидентов для организации на портале Microsoft 365 Defender на сайте, перейдите в & https://security.microsoft.com оповещений > Incidents. Или, чтобы перейти непосредственно на страницу Incidents, используйте https://security.microsoft.com/incidents .

В Центре & безопасности выберите обзор управления > угрозами.

Обучение симуляции атаки

Используйте обучение моделированию атаки, чтобы настроить и запустить реалистичные кибератаки в вашей организации, а также определить уязвимых людей до того, как реальная кибератака повлияет на ваш бизнес. Дополнительные дополнительные сообщения см. в см. в сообщении Simulate a phishing attack.

Чтобы просмотреть и использовать эту функцию на портале Microsoft 365 Defender, перейдите на обучение моделированию & email. https://security.microsoft.com > Или, чтобы перейти непосредственно на страницу подготовки к имитации атаки, используйте https://security.microsoft.com/attacksimulator?viewid=overview .

Автоматическое исследование и реагирование

Используйте возможности автоматического расследования и реагирования (AIR), чтобы сэкономить время и усилия, связанные с контентом, устройствами и людьми, которые рискуют от угроз в вашей организации. Процессы AIR могут начинаться при запуске определенных оповещений или при запуске вашей командой операций безопасности. Дополнительные информации см. в автоматическом расследовании и ответе в Office 365.

Виджеты разведки угроз

В рамках предложения Microsoft Defender для Office 365 Plan 2 аналитики по безопасности могут просмотреть сведения о известной угрозе. Это полезно для определения того, существуют ли дополнительные профилактические меры или действия, которые можно предпринять для защиты пользователей.

Тенденции безопасности, показывающие сведения о недавних угрозах.

Как получить эти возможности?

Microsoft 365 и возможности реагирования на угрозы включены в Microsoft Defender для Office 365 Plan 2, который входит в Enterprise E5 или в качестве надстройки для определенных подписок. Дополнительные дополнительные информации см. в Office 365 Defender for plan 1 и Plan 2.

Обязательные роли и разрешения

Microsoft Defender для Office 365 использует управление доступом на основе ролей. Разрешения назначены с помощью определенных ролей в Azure Active Directory, Центр администрирования Microsoft 365 или Microsoft 365 Defender портале.

Совет

Хотя некоторые роли, например администратор безопасности, можно на Microsoft 365 Defender портале, следует использовать Центр администрирования Microsoft 365 или Azure Active Directory. Сведения о ролях, группах ролей и разрешениях см. в следующих ресурсах:



Действие Роли и разрешения
Используйте панель управления & уязвимостей (или новую панель мониторинга безопасности)

Просмотр сведений о недавних или текущих угрозах

Один из следующих продуктов:
  • Глобальный администратор
  • Администратор безопасности
  • Читатель сведений о безопасности

Эти роли могут быть назначены в Azure Active Directory () или https://portal.azure.com Центр администрирования Microsoft 365 ( https://admin.microsoft.com ).

Использование Explorer (и обнаружения в режиме реального времени) для анализа угроз Один из следующих продуктов:
  • Глобальный администратор
  • Администратор безопасности
  • Читатель сведений о безопасности

Эти роли могут быть назначены в Azure Active Directory () или https://portal.azure.com Центр администрирования Microsoft 365 ( https://admin.microsoft.com ).

Просмотр инцидентов (также именуемой исследованиями)

Добавление сообщений электронной почты в инцидент

Один из следующих продуктов:
  • Глобальный администратор
  • Администратор безопасности
  • Читатель сведений о безопасности

Эти роли могут быть назначены в Azure Active Directory () или https://portal.azure.com Центр администрирования Microsoft 365 ( https://admin.microsoft.com ).

Триггер действий электронной почты в случае инцидента

Поиск и удаление подозрительных сообщений электронной почты

Один из следующих продуктов:
  • Глобальный администратор
  • Администратор безопасности плюс роль поиска и очистки

Роли глобального администратора и администратора безопасности могут быть назначены в Azure Active Directory () или Центр администрирования Microsoft 365 ( https://portal.azure.com https://admin.microsoft.com ).

Роль поиска и очистки должна быть назначена в роли совместной & электронной почты на портале Microsoft 36 Defender ( https://security.microsoft.com ).

Интеграция Microsoft Defender для Office 365 Plan 2 с Microsoft Defender для конечной точки

Интеграция Microsoft Defender для Office 365 Plan 2 с сервером SIEM

Роль глобального администратора или администратора безопасности, назначенная в Azure Active Directory () или Центр администрирования Microsoft 365 ( https://portal.azure.com https://admin.microsoft.com ).

--- plus ---

Соответствующая роль, назначенная в дополнительных приложениях (например, Центр безопасности в Microsoft Defender или сервере SIEM).

Дальнейшие действия